[MASOCH-L] RES: RES: RES: script php
Renato Frederick
frederick at dahype.org
Mon Jun 8 14:43:45 -03 2009
Obrigado pelas dicas Marcelo.. irei pesquisar na medida do possível e procurar os sites que indicaram também para 'copiar' algo e editar. Mas do zero não tenho tempo para aprender, é corrido demais!
Realmente não é qualquer arquivo, será o local.cf e eventualmente mais 2 ou 3 ligados ao antispam, enfim, arquivos que na pior da hipótese se ficarem inutilizados o spamassassin não funcionará, na hora de dar o restart(que pensei com o system do php+sudo) ele vai informar que está errado e ignorar a opção ou não subir.
De maneira alguma iria utilizar isto para editar um máster.passwd ou group, algo assim. Eventualmente usar isto para editar uma lista de sites liberados pelo squid, enfim, coisas simples assim.
> -----Mensagem original-----
> De: masoch-l-bounces at eng.registro.br [mailto:masoch-l-
> bounces at eng.registro.br] Em nome de Marcelo Coelho
> Enviada em: segunda-feira, 8 de junho de 2009 14:29
> Para: Mail Aid and Succor, On-line Comfort and Help
> Assunto: Re: [MASOCH-L] RES: RES: script php
>
>
> On 08/06/2009, at 14:06, Renato Frederick wrote:
>
> > Para editar UM arquivo de 30k....
> >
> >
>
> No seu post inicial, você se referiu a "script php para editar
> arquivos do sistema via web", acho que todo mundo que quis te ajudar
> entendeu que você queria editar QUALQUER arquivo via web, algo bem
> diferente do que você está descrevendo agora.
>
> SUGESTÃO:
>
> 1) Rode um chown atribuindo o grupo do apache como dono do arquivo:
>
> chown :www local.cf
>
> 2) Permita que o grupo leia e grave este arquivo:
>
> chmod g=rw local.cf
>
> 3) Crie o script PHP para modificar/adicionar/excluir entradas neste
> arquivo. Se não conhece PHP, o ponto de partida pra fazer isso está
> aqui:
> http://br.php.net/manual/en/function.fopen.php
>
> PRECAUÇÕES:
>
> a) Não permita que neste servidor usuários externos possam executar
> scripts. Por exemplo, se é um servidor de e-mail, não o utilize para
> hosting compartilhado abrigando scripts de outros clientes.
>
> b) Consulte o manual do programa de e-mail para certificar-se de que
> não se abre nenhuma brecha no sistema ao alterar a permissão de
> determinado arquivo.
>
> c) Valide a entrada do usuário para não permitir que ele forneça
> informações inválidas. Por exemplo, se o usuário for entrar com um
> nome de domínio, não permita caracteres especiais ($, $, |, \n etc),
> pois isso pode quebrar o seu arquivo de configuração ou abrir brechas
> para invadir teu servidor. O ideal limitar os tamanhos dos parâmetros
> e utilizar expressão regular para validar as entradas. Importante:
> valide via PHP e não somente via JavaScript, pois JavaScript é client-
> side e pode ser facilmente driblado.
>
>
> --
> Marcelo Coelho
> marcelo at tpn.com.br
>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
More information about the masoch-l
mailing list